ציר הרשע בסייבר איחד כוחות

במגרש המשחקים הקיברנטי פעלו, ועודם פועלים, במזרח התיכון בתקופת המלחמה כמה שחקנים, ובראשם איראן וישראל, כאשר רוסיה היא שחקן משנה, והחיזבאללה והחמאס נותרו על הספסל – כך סיכמו מומחי אבטחת מידע והגנת סייבר בפני אנשים ומחשבים את השנה החולפת בסייבר. הן את הקשר בין החיזבאללה, איראן והחמאס, והן את הקשר בין רוסיה ואיראן כינה בועז דולב, מייסד ומנכ"ל קלירסקיי, "ציר הרשע בסייבר".

"במובנים מסוימים, איראן ורוסיה הפתיעו", אמר דולב. "הסתבר לנו ששיתופי הפעולה בין קבוצות תקיפה רוסיות ואיראניות הם הדוקים ממה שחשבנו. לאחר שאיראן סיפקה לרוסיה אמצעי לחימה שונים, וביניהם כטב"מים, נראה היה שמישהו בקרמלין נתן 'אור ירוק' להאקרים לפעול בעוצמה רבה יותר נגד ישראל, כולל מתקפות כופרה, ו-'על הדרך' לעשות עוד כסף. ייתכן שהם חלקו ביניהם רווחים כספיים מפריצות מוצלחות. לצד זאת, ראינו סיוע הדדי של האקרים איראניים ורוסיים, כולם שלוחי מדינות האם שלהן – ראינו אותם משתפים פעולה, מחליפים פרטי מידע".

לצד שיתוף מידע הדוק בין איראן לחיזבאללה, דולב ציין את העברת המידע ממנה לחמאס: "ארגון הטרור קיבל על מגש של כסף פרטי מידע מודיעיניים מאיראן. חלקם התקבל מפריצות בסייבר. המידע סייע לחמאס בהיערכות למתקפה ב-7 באוקטובר, וגם אחריה, במהלך המלחמה".

"מנגד", אמר, "איראן הצטרפה למלחמת הסייבר באיחור ניכר, של שלושה שבועות מפרוץ המלחמה. נראה שהם הופתעו וכנראה לא ידעו על מועד המתקפה. אבל לאחר מכן, הם 'נתנו עבודה', בפירוש, עם מתקפות, בחלקן רציניות".

ההאקרים פעלו ממש מתחילת המלחמה

בחודש אוגוסט פרסמנו שחוקרי ESET גילו שמאז תחילת המלחמה, קבוצות תקיפה איראניות, שהתמקדו בתחומים אחרים בעולם מתקפות הסייבר, זנחו אותם – ועברו לתקוף את ישראל.

עם פרוץ המלחמה, קבוצות האקרים אנטי-ישראליות, פרו-פלסטיניות, מוסלמיות ועוד ניצלו את המצב והחלו לתקוף אתרים ישראליים באופן אינטנסיבי. כך, אתרי הממשלה בכתובת gov.il לא היו זמינים לסירוגין ביום ראשון, ה-8 באוקטובר, ולפי מערך הדיגיטל הלאומי הם חוו מתקפת DDoS (מתקפת מניעת שירות מבוזרת) גדולה.

בשבועות הראשונים למלחמה היו דיווחים רבים על האקרים שתוקפים ממשקים, אפליקציות ושירותי רשת, ושולחים הודעות "פוש" זדוניות ומיילים של פישינג. בדיעבד התברר כי במקרים רבים היו אלה פייק ניוז, שנשלחו במטרה לזרוע אי אמון ובלבול – במה שמכונה קמפיין השפעה, או קמפיין תודעה. משלוח הודעות הפייק נמשך במשך כל השנה. כך, באחרונה, ב-19 בספטמבר, חמישה מיליון ישראלים קיבלו בלילה SMS: "להיכנס למרחב מוגן". מערך הסייבר הלאומי הודיע שההודעות נשלחו במטרה ליצור בהלה ולנצל את המצב הביטחוני הרגיש.

באוגוסט השנה הודיע מערך הסייבר הלאומי כי לאחר חיסולם של מנהיג החמאס, איסמעיל הנייה, בטהרן, ופואד שוכר, המפקד הצבאי הבכיר ביותר בחיזבאללה, בביירות – חל גידול במסעות ההשפעה ברשת נגד ישראל. בין היתר, היו ניסיונות לפרוץ למרכזי טלפוניה לשיחות אוטומטיות; הפצת מסרונים מאיימים; הפצת מיילים עם קישורים לקבצים מזיקים; הופעת פרופילים מתחזים ברשת, שמפיצים הודעות הפחדה; ואתרי חדשות מתחזים. לאנשים ומחשבים נודע שלפחות אחד ממסעות ההשפעה נערך על ידי האקרים איראניים.

מתקפה ישראלית?

גם ישראל, אולי, לא ישבה בחיבוק ידיים: עוד פרסמנו באוגוסט כי קבוצת האקרים ישראלית, WeRedEvils, התגאתה שהקריסה את ה-Wi-Fi באיראן. לפי דיווחים, רשת האינטרנט הושבתה בחלקים של איראן, כולל הפסקות תקשורת בחלק מהשכונות של טהרן.

ביוני דיווחנו על קבוצות סייבר איראניות שתקפו בישראל: ערוץ האופוזיציה איראן אינטרנשיונל חשף פרטים על קבוצות הפריצה MuddyWater ו-Darkbit, שבין השאר תקפו את הטכניון. חברי הקבוצות האלה פועלים גם נגד מדינות ידידותיות לאיראן – ולא רק נגד אויבות שלה. שתי קבוצות התקיפה בסייבר פועלות בחשאי תחת גוף במשרד המודיעין והביטחון האיראני, MOIS.

עוד באותו החודש אמר גבי פורטנוי, ראש מערך הסייבר הלאומי, כי "איראן היא האויב הכי גדול שלנו בסייבר. כמדינה תוקפנית גם בסייבר, איראן תוקפת מדינות רבות ברחבי העולם, ואף את בעלות בריתה – ובאגרסיביות… איראן הגדילה את היקף המתקפות שלה בסייבר על ישראל, וחצתה קווים אדומים הומניטריים, כגון המתקפה שנבלמה על בית החולים זיו בצפת".

אסכם את הסיכום בנימה חיובית, עם דברי בכיר בעולם האבטחה הישראלי: "המערכות האזרחיות בישראל לא חדלו לתפקד בגין מתקפות סייבר. למרות הגידול בפעילות ההתקפית נגד ארגונים ואתרים בישראל – המתקפות נהדפו ולא נרשמה פגיעה משמעותית, מעבר לדלפי מידע".